Na snazi od maja 2016. godine, u primeni od maja 2018. – Opšta uredba EU o zaštiti podataka (GDPR) i dalje ostavlja mnoge kompanije da se pitaju: Da li to utiče na nas? I ako da: kako postići pravnu sigurnost? I šta možemo učiniti za usklađenost zaštite podataka?
Od maja 2018. kompanije koje rukuju ličnim podacima – a ima ih dosta – moraju biti spremne da plate pozamašnu kaznu. Kazne za kršenje podataka mogu biti značajne. I to je uvijek slučaj ako nisu u potpunosti u skladu sa zahtjevima novog GDPR-a. Osim toga, nova verzija njemačkog saveznog zakona o zaštiti podataka (BDSG) dopunjuje i potkrepljuje GDPR. Ovdje, međutim, svuda prevladava neizvjesnost:
- Šta su uopšte "lični podaci"?
- Jesmo li mi "odgovorni subjekt" prema GDPR-u?
- Ko je "subjekt podataka"?
- Šta tačno znači "automatska obrada" ličnih podataka?
- Moramo li imenovati službenika za zaštitu podataka?
Koje mjere moraju biti implementirane
Lista pitanja usklađenosti zaštite podataka koja treba riješiti je duga.
Istina je da se definicije pojmova korištenih u uredbi mogu naći u listama FAQ. Međutim, ovo ne garantuje nužno jasnoću u pogledu konkretnog značaja za pojedinačnu kompaniju. Najkasnije kada se čeka provedba i poštovanje potrebnih (jer zahtijeva) mjera i obaveza od strane zaposlenih, moraju postojati pravi odgovori na takva pitanja, npr.:
- Šta su "tehničko-organizacijske mjere"?
- Kada su oni neophodni?
- Šta je sa "proporcionalnošću"?
- Šta je s mnogim "kontrolama" koje zahtijeva GDPR, kao što su "kontrole pristupa ili otkrivanja"?
- Kako se može osigurati usklađenost zaštite podataka?
Zaštita podataka vs. sigurnost informacija
U svakom slučaju, pravi korak za pogođenu kompaniju je uspostavljanje efektivnog sistema upravljanja zaštitom podataka - prilagođenog njenim individualnim potrebama, ako je potrebno već u cilju akreditovane certifikacije.
Ono što ovdje često zbunjuje: Zaštita podataka i sigurnost informacija su dva para cipela, čak i ako postoje preklapanja (na primjer, razne mjere kontrole). Na primjer, kompanije koje imaju potpuno sveobuhvatan sistem upravljanja sigurnosti informacija (ISMS) u skladu sa ISO 27001 pokrivaju temu zaštite podataka u određenoj mjeri.
Ali čak i ovdje, ostaje praznina koja se može otkriti i zatvoriti sa ili bez ISMS-a koristeći gap analizu.
„Osnovna razlika između ove dvije teme: Informacijska sigurnost štiti podatke kompanije od zloupotrebe od strane trećih strana; zaštita podataka ima za cilj zaštitu ličnih podataka.“
U avgustu 2019, sa ISO 27701 objavljen je novi standard koji formuliše zahtjeve za zaštitu podataka u upravljanju sigurnosti informacija. ISO 27701 tako specificira sistem upravljanja zaštitom podataka zasnovan na ISO 27001, ISO 27002 (vodič za mjere sigurnosti informacija) i ISO 29100 (okvir za zaštitu podataka). ISO 27701 je dopuna ISO 27001. Certifikacija prema novom standardu samostalno nije moguća.
Upravljanje privatnošću podataka sa ISO 27701
Zaštita podataka u kontekstu informacione sigurnosti - uzbudljiva tema? Više stručnog znanja o standardu ISO 27701 u našem besplatnom Bijelom papiru
Usklađenost zaštite podataka - benefiti
Dobit ćete
- Pouzdane informacije o područjima za djelovanje
- Znanje o skrivenim potencijalima
- Veća sigurnost postupanja i pravna sigurnost u rukovanju podacima nakon provođenja odgovarajućih mjera
Na sigurnoj strani - sa auditom zaštite podataka od strane DQS
Kompanije koje teže usklađenosti u zaštiti podataka bi stoga trebale učiniti dvije stvari: upoznati sebe ili svoje službenike za usklađenost s temom što je prije moguće i da status quo utvrdi nezavisno tijelo kao što je DQS u obliku gap analize.
Fokus takvog audita zaštite podataka je samoprocjena sa pregledom dokumenata. Kompanija se zatim provjerava na licu mjesta kako bi se utvrdilo da li je u skladu sa osnovnim aspektima zaštite podataka. Izvještaj pokazuje da li postoji potreba za akcijom i, ako da, koja je akcija potrebna.
DQS Gap analiza zaštite podataka
Koliko posla treba da uradite za GAP analizu? Saznajte besplatno i bez obaveza.
DQS Bilten
Gert Krueger
Expert i voditelj projekta za sigurnost informacija, BSI-KrititisV i zaštitu podataka u DQS-u. Osim toga, dugogodišnji auditor za upravljanje kvalitetom i okolinom.